Webszerver security checker

Miután sokadszorra találkoztam azzal a feladattal, hogy egy webszerver biztonságát kellett tesztelni és javaslatokat tenni rá, összeütöttem egy kis PHP alkalmazást, ami úgyszólván a triviális és automatizáltan ellenőrizhető részeket önmaga elvégzi. A dologból open source projekt lett, ami megtekinthető itten: https://github.com/janoszen/LAMPSecurityToolkit Természetesen koránt sincs kész, de már néhány gyakori bakit kiszűr és ezekhez meglehetősen szájbarágós magyarázat is van.

Ha van kedved segíteni, teheted a következőket:

* A fent levő issue-k közül markolsz magadnak egyet és lekódolod.
* Gondolkozol azon, hogy mit kellene még ellenőrizni és nyitsz rá issue-t
* A konstruktív ötleteidet leírod ide. :)

A segítségeteket előre is köszönöm.

( BaT | 2011. 08. 13., szo – 19:56 )

Ha a classes/SecurityTest.php-ben levő SecurityTest class valóban abstract, miért nem lehet azt valahogy jelezni?

Egyrészt 

abstract class SecurityTest

, másrészt a benne levő metódusok a run-t leszámítva is lehetnének abstract-ok: 

abstract function getName();

, bár ekkor a hozzájuk tartozó kommentekben kellene jelezni, hogy stringet kell visszaadniuk (éljenek a gyengén típusos nyelvek).

Az eval is csípi a szemem az index.php runtest() függvényében, de gondolom megvolt rá az okod, hogy így írtad.

--
Don't be an Ubuntard!

Rengeteg ilyen gép van. Nekem ez a tool azért kell, hogy fel tudjam mérni az állapotukat és ennek megfelelően javaslatokat tudjak tenni az eltakarításukra.

Webes szoftvereknél masszívan ellenzem a PHP 4, de most már lassan a PHP 5.2 használatát is, viszont audit eszközben meg szeretném támogatni.

( Elbandi v | 2011. 08. 13., szo – 20:42 )

eval('$testclass = &new ' . $test . '();');

miert kell itten az eval? elvileg mukodik a $var =& new $classnev(); is, nem?

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!